image

Juridische vraag: Is er bij een besmetting met ransomware ook sprake van een datalek?

woensdag 17 mei 2017, 16:22 door Arnoud Engelfriet, 15 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: De WannaCry-ransomware heeft afgelopen weekend flink toegeslagen, onder meer bij parkeerbedrijf Q-Park in Nederland. Geldt dit nu als datalek, als ransomware gegevens in gijzeling neemt?

Antwoord: Ook het verloren gaan van gegevens telt als datalek onder de Wet bescherming persoonsgegevens inderdaad (en straks de AVG). Dat voelt gek, want misbruik is niet echt aan de orde als iets weg is, maar naast dat het formeel gewoon onder de term 'verwerken' valt is er gewoon een goede reden: het verloren gaan van gegevens kan je status als klant et cetera aantasten. Als de computer niet meer weet dat jij betaald hebt om te parkeren, dan heb je een probleem.

Natuurlijk is dit geen issue als er een goede recente backup is. En in die situatie noemen we zo’n verlorengaan dan ook geen datalek, althans niet eentje die het melden waard zou zijn. Dus in principe is het antwoord simpel: ja, tenzij men goede backups heeft.

En hier zou je zelfs nog een stapje verder kunnen gaan: welke persoonsgegevens zijn verloren gegaan door de ransomware in die Q-Park garages? Die staan toch op een server ergens, en deze terminals dienen alleen als interface om te betalen? Niet kunnen betalen is heel vervelend maar geen datalek.

Intrigerender -wie erop wil afstuderen moet maar even mailen- vind ik nog de vraag of ingijzelneming van persoonsgegevens wel telt als verloren gaan. De data is er immers nog, je moet alleen betalen om hem weer terug te krijgen. Ik weet het, de Autoriteit Persoonsgegevens vindt van wel, maar om een wat verdergaande reden:

Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. … De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.

Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure? Of moet je gijzelen zien als verloren gegaan?

De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
17-05-2017, 16:43 door Anoniem
Als een organisatie een lek heeft / last van ransomware, dan heb ik geen vertouwen in de bewijsvoering van zo'n bedrijf om aan te tonen dat er niets weg is.

Want dan kun je ook stellen, er zijn geen logregels gevonden die aantonen dat er gecopieerd is / geupload naar andere servers, dus veilig. Dit is heel makkelijk te zeggen. Want je overhandigd niets. Of je overhandigd logfiles die aangepast zijn.

Er is in mijn ogen maar 1 manier om dit goed te doen. Dat is door een onafhankelijke toko de logfiles en servers laten controleren. Als die tot de conclusie komt dat er geen data is geupload naar andere lokatie, is er geen lek geweest.

Echter, als blijkt dat dit wel gebeurd is, vind ik zelf dat er een boete moet komen op het verduisteren van bewijs.

Met andere woorden, er is een hoog 'wij van wc-eend' gehalte of 'vertrouwen op de blauwe ogen' met dit melden van lekken.

Het doet er niet toe in de ICT of er data terug gehaald kan worden. Want zoals ook vaker wordt gezegd, er kan geen diefstal van data bestaan als die gecopieerd wordt. Want er is niets weg. Er is alleen gedupliceerd. En dat is nog gevaarlijker.

@Arnoud: Als een cloud dienst bestanden offline haalt, dan is dat in mijn ogen een ongeoorloofde actie van de Cloud dienst. Tenzij er een gerechtelijk bevel ligt. Dus geen bevel maar wel aan je files zitten in de cloud, dan zou de cloud aanbieder strafbaar moeten zijn.

TheYOSH
17-05-2017, 16:55 door Anoniem
De juiste logging is onmisbaar om aan te kunnen tonen wat er is gebeurd. De wet vraagt om bewijs dat er niets gelekt of verloren is gegaan. Als je dit niet aan kan tonen zit je in principe, wat de wet betreft, fout toch Arnoud?
17-05-2017, 17:41 door Anoniem
De kern van de zaak is niet of het als "verloren gaan" moet tellen. Het gaat natuurlijk om het compromitteren van de data. Als een derde partij het heeft kunnen versleutelen dan heeft diezelfde partij ook andere dingen kunnen doen. Mijn eerste reactie was ook "huh wat raar" maar als je erover nadenkt is het duidelijk. Dit principe is wel iets uit de spionnenwereld, wat niet gek is want die doen niets anders dan een groot kat-en-muisspel met informatie, en informatie rondschipperen is precies wat het wereldwijde computernetwerk genaamd het internet ook doet.

Hoe je denkt daar een hele these aan te kunnen wijden... nouja ik heb wel vaker gehoord dat moderne afstudeereisen wat laagjes zijn maar een enkele paragraaf tot een zogenaamd wetenschappelijk werk oprekken is wellicht wat erg aan de soosjoloogiese zijde van het spectrum. Aan de andere kant... ik heb toch niets beters te doen en als je denkt dat hiermee de vaart der volkeren op te stuwen is, zeg het maar.
17-05-2017, 18:24 door Anoniem
Als data niet beschikbaar is dan is er sprake van een datalek. Dus ja, ransomware is een datalek en moet je melden.
17-05-2017, 21:02 door Anoniem
Het is eigenlijk heel simpel, controle over de (persoons)gegevens is de sleutel. Wanneer je als verantwoordelijke (volgens de WBP/AVG) niet zelf meer de controle hebt over de persoonsgegevens, maar dat deze onder controle staan van een onbevoegde, in dit geval is dat een feit met ransomware, dan heb je het inderdaad over een datalek want net als bij verlies of diefstal ben je als verantwoordelijke niet meer in controle. Bij ransomware worden de gegevens dan wel niet gestolen maar je hebt er ook zelf geen controle meer over. Daarnaast kun je niet garanderen dat de versleutelde gegevens weer volledig onder controle komen dus moet je ze als verloren beschouwen.
17-05-2017, 21:11 door Anoniem
Door Anoniem: Als data niet beschikbaar is dan is er sprake van een datalek. Dus ja, ransomware is een datalek en moet je melden.
Niet elk datalek hoef je te melden, de AP heeft daar criteria voor op gesteld. Bij verlies of diefstal van bijzondere persoonsgegevens is een melding sowieso verplicht maar bij de overige persoonsgegevens hangt het sterk af van wat de te verwachte impact op de levenssfeer van betrokkenen zou kunnen zijn. Als dat er niet is hoeft er geen melding gemaakt te worden.
17-05-2017, 22:04 door Anoniem
Door Anoniem: Als data niet beschikbaar is dan is er sprake van een datalek.
Onzin. Het woord "lek" heeft alles te maken dat iets op een plaats belandt waar het niet hoort.
Uit https://nl.wikipedia.org/wiki/Datalek
Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek.[/url].

Door Anoniem: Dus ja, ransomware is een datalek en moet je melden.
Als er op een systeem met vertrouwelijke informatie, onvertrouwde software draait of heeft gedraaid, en je niet 100% kunt uitsluiten dat er vanuit dat systeem verbindingen naar Internet kunnen worden geïnitieerd (desnoods via DNS), moet je uitgaan van een lek.

Dat data (tijdelijk of permanent) niet beschikbaar is, is strikt genomen geen lek. Ik vind het een slechte zaak dat de AP hier het woord "datalek" voor misbruikt, want dat is het niet, het valt ook niet uit te leggen en dus kun je er nooit op rekenen dat men wel zal begrijpen dat je het moet melden als je harde schijf met PII gecrashed is en je geen (recente) backup hebt.

Als je als AP wilt dat dit soort gebeurtenissen gemeld worden, zul je dat met duidelijke taal moeten onderbouwen.
17-05-2017, 22:32 door Anoniem
BIV is het antwoord: als de Beschikbaarheid (toegankelijk wanneer nodig), Integriteit (niet aangepast) of Vetrouwelijkheid (toegankelijk door onbevoegden) van gegevens veranderd is er sprake van een datalek.
Dus malware dat bijvoorbeeld alleen de file protectie van bestanden aanpast, waardoor er meer mensen bij zouden kunnen is een lek. Of malware die in bestanden naar geboortedata zoekt en daar een dag bij op telt.

Dat brengt ons op de leuke vraag: hoe kan je dat aantonen?
17-05-2017, 22:33 door Anoniem
Door Anoniem: bij de overige persoonsgegevens hangt het sterk af van wat de te verwachte impact op de levenssfeer van betrokkenen zou kunnen zijn. Als dat er niet is hoeft er geen melding gemaakt te worden.
Het is echter niet zo dat alleen het getroffen bedrijf mag bepalen in hoeverre die impact te verwaarlozen is. De impact is groot genoeg om te melden als de personen om wie het gaat in het nadeel zijn. Om het voorbeeld aan te halen, als de klant tegenover het parkeerbedrijf komt te staan en de klant moet moeite doen om uit de parkeergarage te komen dan is dat voldoende om met de AP in discussie te gaan of de melding officieel opgenomen moet worden. De wet is niet bedoeld om in het voordeel van bedrijven te werken en in het nadeel van personen. Daarom is de voorgaande wet juist aangescherpt. Te veel bedrijven negeerden het doel van de wet om de personen te beschermen.
18-05-2017, 05:57 door Anoniem
Door Anoniem: De kern van de zaak is niet of het als "verloren gaan" moet tellen. Het gaat natuurlijk om het compromitteren van de data.
De wet noemt expliciet verlies van data als een van de zaken die gemeld moet worden, het gaat om bescherming van persoonsgegevens "tegen verlies of tegen enige vorm van onrechtmatige verwerking". Verlies van data is dus wel degelijk onderdeel van de kern van de zaak. De reden noemt Arnoud al: verlies van persoonsgegevens kan die persoon benadelen.
18-05-2017, 07:34 door Anoniem
Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.
Enerzijds vind ik de versleuteling zelf al overduidelijk een onrechtmatige verwerking, die dan als zodanig onder de meldplicht zou vallen, maar anderzijds staat op pagina 20 van het beleidsdocument van AP deze zin:
Kenmerkend voor een inbreuk op de beveiliging is verder dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die u verwerkt.
Als je alles kan herstellen en zeker kan zijn dat er niets bij derden is beland (of nog kan belanden; weet je zeker dat er niets aan dat systeem is toegevoegd dat in de toekomst nog voor ellende kan zorgen?) kan je stellen dat die gevolgen er uiteindelijk niet zijn en dan is het uiteindelijk niet eens een beveiligingsincident. De uitkomst lijkt dan op wat het hebben van een goede backup had opgeleverd, en gijzelsoftware in combinatie met een backup noem je zelf geen issue en een datalek dat het melden niet waard is.
Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure?
Nee, zo zou ik het beslist niet zien, ook al kan de uitkomst in het gunstigste geval lijken op het hebben daarvan. Een backup is een reservekopie, niet de enige kopie, het doelbewust vernietigen van het origineel is geen onderdeel van het maken van een backup. Verder is de implicatie van gijzelsoftware als backupmechanisme zien dat je de makers van gijzelsoftware, die het initiatief tot het versleutelen nemen, als legitieme dataverwerkers ziet. Dat zijn ze niet.
Of moet je gijzelen zien als verloren gegaan?
Niet als je een echte backup hebt of als je de versleuteling ongedaan kan maken. Je hebt een periode van onzekerheid over de toestand, natuurlijk, maar er zijn meer situaties waarin je tijdelijk geen toegang tot data hebt zonder dat dat verlies is en situaties waarin je tijdelijk niet weet of data wel of niet verloren is gegaan.

Is er zoiets als tijdelijk verlies in dit kader? Ik kan me voorstellen dat de duur van het verlies ertoe doet, hoe langer het duurt hoe groter de (kans op) daadwerkelijke gevolgen. Als er daadwerkelijke gevolgen zijn lijkt me dat er sprake is van een beveiligingsincident.
De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.
Als je persoonsgegevens kwijtraakt omdat een clouddienst af laat weten is dat toch net zo goed verlies als wanneer de harde schijf met je enige kopie erop crasht? Het gaat om de gevolgen, en als die er zijn dan zijn die er. Je hebt verwerking van persoonsgegevens uitbesteed aan een derde en als die derde onbetrouwbaar blijkt te zijn dan heb je een echt probleem, je blijft zelf verantwoordelijk.
18-05-2017, 08:47 door Anoniem
Versleuteling = onrechtmatig verwerken = reden voor rapportage als datalek.

Verder voor al die mensen die hier lappen me tekst typen: het gaat erom wat de Authoriteit Persoonsgegevens aanhoudt als definitie. Zij bepalen of er uiteindelijk een boete wordt uitgeschreven of niet bij niet rapporteren.

Pragmatisch;
"IK" vind het geen datalek. De data is nog op één plaats, is niet gekoppieerd en derhalve wordt het niet gebruikt om persoonsgegevens te (mis)bruiken. Maar wat ik vind doet niet echt ter zaken. Mochten al die zaken wel gebeurd zijn dan is er uiteraard geen twijfel mogelijk.
mvg
Eminus
18-05-2017, 09:47 door Anoniem
Door Anoniem:
Door Anoniem: Als data niet beschikbaar is dan is er sprake van een datalek. Dus ja, ransomware is een datalek en moet je melden.
Niet elk datalek hoef je te melden, de AP heeft daar criteria voor op gesteld. Bij verlies of diefstal van bijzondere persoonsgegevens is een melding sowieso verplicht maar bij de overige persoonsgegevens hangt het sterk af van wat de te verwachte impact op de levenssfeer van betrokkenen zou kunnen zijn. Als dat er niet is hoeft er geen melding gemaakt te worden.

Ben jij niet in de war met het melden aan de betrokkenen? Volgens mij moet je altijd melden bij de AP, maar zijn er criteria om te bepalen of er gemeld moet worden aan de betrokkenen.
18-05-2017, 14:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als data niet beschikbaar is dan is er sprake van een datalek. Dus ja, ransomware is een datalek en moet je melden.
Niet elk datalek hoef je te melden, de AP heeft daar criteria voor op gesteld. Bij verlies of diefstal van bijzondere persoonsgegevens is een melding sowieso verplicht maar bij de overige persoonsgegevens hangt het sterk af van wat de te verwachte impact op de levenssfeer van betrokkenen zou kunnen zijn. Als dat er niet is hoeft er geen melding gemaakt te worden.

Ben jij niet in de war met het melden aan de betrokkenen? Volgens mij moet je altijd melden bij de AP, maar zijn er criteria om te bepalen of er gemeld moet worden aan de betrokkenen.

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf paragraaf 4.2
18-05-2017, 23:54 door Anoniem
In de Wet bescherming persoonsgegevens (Wbp) komt het woord 'datalek' helemaal niet voor (zie artikel 34a). De term die de Wbp gebruikt is 'inbreuk op de beveiliging'. Daarom valt het verlies van gegevens ook onder de meldplicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.